SQL参数化查询讲座 (六)

再来看OLEDB驱动程序的方式：

 

// 连接数据库，对于SQL Server的高版本，Provider可以为SQLNCLI

using (IDbConnection connection = new OleDbConnection(

    "Provider=SQLOLEDB;Data Source=(local);Initial Catalog=school;Integrated Security=SSPI"))

{

    connection.Open();

 

    // 先清空数据表

    using (IDbCommand deleteCommand = connection.CreateCommand())

    {

        deleteCommand.CommandType = CommandType.Text;

        deleteCommand.CommandText = "DELETE FROM Students";

        deleteCommand.ExecuteNonQuery();

    }

 

    // 插入数据

    using (IDbCommand insertCommand = connection.CreateCommand())

    {

        insertCommand.CommandType = CommandType.Text;

        insertCommand.CommandText = "INSERT INTO Students(Id,Name,Photo) VALUES(?,?,?)";

        insertCommand.Prepare();

       

        // 创建参数

        IDbDataParameter idParameter = insertCommand.CreateParameter();

        idParameter.ParameterName = "Id";

        idParameter.Direction = ParameterDirection.Input;

        idParameter.DbType = DbType.Int32;

        insertCommand.Parameters.Add(idParameter);

        IDbDataParameter nameParameter = insertCommand.CreateParameter();

        nameParameter.ParameterName = "Name";

        nameParameter.Direction = ParameterDirection.Input;

        nameParameter.DbType = DbType.String;

        nameParameter.Size = 10;

        insertCommand.Parameters.Add(nameParameter);

        IDbDataParameter photoParameter = insertCommand.CreateParameter();

        photoParameter.ParameterName = "Photo";

        photoParameter.Direction = ParameterDirection.Input;

        photoParameter.DbType = DbType.Binary;

        photoParameter.Size = -1;

        insertCommand.Parameters.Add(photoParameter);

 

        // 插入第1条记录

        idParameter.Value = 1;

        nameParameter.Value = "LiMing";

        photoParameter.Value = File.ReadAllBytes("d://1.jpg");

        insertCommand.ExecuteNonQuery();

        // 插入第2条记录

        idParameter.Value = 2;

        nameParameter.Value = "WangLing";

        photoParameter.Value = File.ReadAllBytes("d://2.jpg");

        insertCommand.ExecuteNonQuery();

    }

 

    // 查询数据

    using (IDbCommand selectCommand = connection.CreateCommand())

    {

        selectCommand.CommandType = CommandType.Text;

        selectCommand.CommandText = "SELECT Photo FROM Students WHERE Name=?";

        selectCommand.Prepare();

       

        // 创建参数

        IDbDataParameter nameParameter = selectCommand.CreateParameter();

        nameParameter.ParameterName = "Name";

        nameParameter.Direction = ParameterDirection.Input;

        nameParameter.DbType = DbType.String;

        nameParameter.Size = 10;

        selectCommand.Parameters.Add(nameParameter);

 

        // 指定参数后执行

        nameParameter.Value = "Liming";

        using (IDataReader reader = selectCommand.ExecuteReader())

        {

            while (reader.Read())

            {

                byte[] photo = (byte[])reader["Photo"];

                // 这里省略处理查询结果的代码

            }

        }

    }

 

}

 

两段代码在结构上基本相同，毕竟用到的各个类都实现相同的接口。除了数据库连接方式不同外，两部分代码在表示SQL语句中的参数时也有所不同。SQL Server专为.NET设计的驱动程序要求使用@开头的命名参数，就像Transact-SQL中的变量那样。而SQL Server的OLEDB驱动程序则偏爱使用问号。对于其他数据库，对参数的表示方式可能又是另外的方式。例如Access的OLEDB驱动程序可同时支持前面的两种方式。

另外一个不同之处是，前一段代码把变量声明为具体类的实例，而后一段代码则声明变量为接口类型。这只是编程风格问题，与驱动程序无关。事实上，前一段代码也可用接口，后一段代码也可声明为具体的类，甚至可以一段代码中具体类与接口混用，不过最好保持风格的一致性。采用接口使代码更容易移植到其他数据库，不过也可能限制发挥特定数据库驱动程序的专长。

 

上面的例子中命令对象执行的是SQL语句。如果程序中使用数据库存储过程，则更应该使用参数化查询。很多数据库在使用存储过程时，其OLEDB驱动程序能自动解析所需的参数，根本不需要明确调用CreateParameter方法，直接给对应的参数赋值即可执行。